您想在渗透测试期间增加信号并减少噪音吗？

伟大的！以下是一些值得思考的事情：

1. 对于您的问题的答案——他们是否已经在其他地方得到了回答？例如，来自先前渗透测试的 Nmap 数据是否提供了您今天期望的数据的足够准确的视图？csrecon或类似工具会提供该数据吗？如果您在本地网络上，ARP 是否提供它？你能加速 ARP 发现（netdiscover、arp-scan、arping 等）和数据包捕获/MITM（例如，bettercap ）技术，还是通过xerosploit将它们与 Nmap 结合起来？
2. 在从自己的基础设施开始扫描之前，您能否从受信任的或第三方来源进行扫描并记录结果？scanless或类似的方法会提供这种观点吗？使用ipidseq NSE脚本转向idlescanning怎么样？或者如何使用来自大量来源的dnmap？
3. 您可以修改 Nmap使其不被 IDS 拾取或被 IPS 阻止吗？您可以使用带有准备好的配置的工具，例如sniffjoke吗？如何使用看起来更正常和更 TCP 友好/高效的不同扫描方式，例如pbscan？您可以使用 metasploitHelper 同时执行 Nmap 和MetaSploit吗？

如果您已经有信誉，那么在 IP/ICMP/TCP/UDP 扫描之前先进行SPN扫描。然后使用portia、autoDANE和CrackMapExec等工具进行旋转。

有时，网络上正在使用其他协议，例如以太网上的 DCE-RPC（与以太网上的 TCP/IP 相对），但您可以使用Piper或类似的工具在两者之间建立桥梁。想要通过 ARP 创建一个反向通道（例如，C2、隐蔽通道）？然后测试slarpd/slarpc。

其他时候，您可以在现有协议中创建隐蔽通道，例如使用phcct 工具进行 TCP/IP 协议跳跃，甚至使用Forkitor 方法通过 SSH。躲在众目睽睽之下！

IPv6 怎么样？是否在网络上启用但蓝队没有在寻找它？如果您想查看是否启用了 IPv6，请获取本地堆栈并使用ip -6 neighbor show, ndp -an, 来被动地显示这些网络，或者甚至使用 ping6 主动地显示这些网络，例如，ping6 -c 2 ff02::1或ping6 -a ag, ping6 -a al, ping6 -N。从 metasploit-framework 运行这个模块—— auxiliary/scanner/discovery/ipv6_neighbor_router_advertisement

尝试这些技术——https ://www.ernw.de/download/newsletter/ERNW_Newsletter_45_PenTesting_Tools_that_Support_IPv6_v.1.1_en.pdf——在您的 IPv4 工具和目标 IPv6 网络之间架起一座桥梁。

您必须做出选择：您是要隐身，还是要广泛覆盖和提高效率？nmap -sS如果以适当的速度运行，基本上所有的扫描工具，包括SOC，都可以很容易地被合格的 SOC 检测到。如果你想避免被检测到，你必须要么减少请求，要么让请求更慢。

在实验室执行渗透测试时，您是否尝试过运行 Snort、Bro 或 Security Onion 等工具？立即发出什么信号？这些工具是如何工作的？如果你想避免检测，你必须知道检测是如何工作的。

如果隐身是您的目标：

1. 避免使用明显的工具（如 SQLMap）或确保它们具有隐藏用户代理字符串等内容的设置。（例如，sqlmap --user-agent=Benign/1.0）
2. 慢慢来，尽可能有针对性。在尝试击中目标之前先了解目标。如果您需要安静，手术精度比蛮力更好。
3. 如果您站稳脚跟，请将您的流量转向那里以掩盖来源。
4. 如果您有多个立足点，请将您的流量分散到多个来源。

无需过多介绍细节（因为它们非常依赖于测试的环境），您可以考虑这样的事情。

SOC 如何找到攻击者？好吧，有几种方法，他们可能会寻找已知攻击工具的签名，例如，大多数 IDS 都会有一个用于 nmap 扫描的签名，如果您使用 nmap 扫描，您就会将其关闭。

蓝队可以工作的另一种方式是他们寻找异常。因此，例如，如果他们知道网络上没有使用端口 23455/TCP 的服务，并且突然开始看到该端口上的流量，则很容易将其用作警报事件。

那么从攻击者的角度来看，你如何避免这种情况呢？

对于第一个，避免在默认配置中使用众所周知的工具。尝试使用诸如操作系统工具之类的东西来代替 nmap 让您连接到服务（例如，在循环中寻找 SSH 服务器的 SSH 客户端）

还要利用被动的技术。数据包嗅探可能会揭示系统广播流量，从而泄露它们正在运行的服务。因此，例如，Windows 服务器可能会发出某些您可以接收的广播。所以你知道它是什么，你可以直接在常见的 Windows 端口上联系它，这可能不会显示在 SOC 仪表板上，因为这是非常正常的流量。

要避免的另一件事是攻击工具的常见默认端口。如果该工具附带默认值，请使用其他东西，最好是已经在网络上使用的东西，比如使用 443/TCP 进行 SSL 流量，这很可能会很好地融合。

关于 Nmap，有许多值得直接从手册中阅读的选项，可以帮助您进行更隐蔽的扫描： Nmap：防火墙/IDS 规避和欺骗